New Jersey'deki bir telekomünikasyon şirketinin eski bir yöneticisi, bir suç ortağının müşteri hesaplarını hacklemesine olanak tanıyan yetkisiz SIM takası gerçekleştirmek için para kabul ettiği için komplo suçlamalarını kabul etti.
SIM değiştirme, hedeflenen kişinin telefon numarasının, saldırgan tarafından kontrol edilen başka bir fiziksel SIM karta veya eSIM çipine izinsiz olarak taşınmasıdır. Bu tür saldırılar genellikle müşteri destek temsilcilerine yönelik sosyal mühendislik saldırıları veya mobil şirketlerin içindeki kişiler aracılığıyla gerçekleştirilir.
Bu saldırı, çevrimiçi hesaplarda iki faktörlü kimlik doğrulama korumasının bir parçası olarak gönderilen SMS tabanlı tek kullanımlık şifreleri (OTP'ler) almak için hedefin telefon numarasının kontrolünü ele geçirmeyi amaçlıyor.
Bu kodları almak, saldırganların genellikle kimlik avı veya diğer veri sızıntıları yoluyla elde edilen çalıntı kimlik bilgilerini kullanarak hedefin hesaplarını ele geçirmesine olanak tanır.
Telekom hizmet sağlayıcıları artık, sahibinin katılımı veya izni olmadan bu tür keyfi numara taşıma olaylarını önlemek için önlemler uygulamaya koydu.
Ancak eski BT yöneticisi Jonathan Katz, güvenlik önlemlerini aşmak ve yetkisiz numara taşıma işlemleri gerçekleştirmek için bir mobil telekomünikasyon mağazasındaki yönetici pozisyonunu ve yüksek ayrıcalıklı hesabını kötüye kullandı.
ABD Adalet Bakanlığı (DoJ) tarafından bu haftanın başlarında yayınlanan bir duyuru ve mahkeme belgeleri, Katz'ın (“Luna”) SIM takaslarını 10-20 Mayıs 2021 tarihleri arasında bir telekom firmasında yönetici iken gerçekleştirdiğini açıklıyor.
Katz'ın tutuklanmasının ardından yayınlanan Aralık 2021 tarihli mahkeme belgeleri Wyoming, New Jersey, California ve Tennessee'de beş kurbanı gösteriyor.
Katz'ın eylemleri, suç ortağının kurbanların cep telefonu numaralarını ele geçirmesine ve ardından e-posta, sosyal medya ve kripto para cüzdanları da dahil olmak üzere hesaplara erişmesine olanak sağladı.
Yetkisiz numara taşıma işlemini gerçekleştirmek için Katz, SIM takası başına 1.000 $ Bitcoin (toplam 5.000 $) artı kurbanların cihazlarına yasa dışı erişimden elde edilen kârın (belirtilmemiş) bir yüzdesini aldı.
Katz, eylemlerinden dolayı yasal olarak en fazla beş yıl hapis ve 250.000 dolara kadar para cezasıyla veya suçtan kaynaklanan mali kazanç veya kaybın iki katı para cezasıyla karşı karşıya kalacak.
Cezanın 16 Temmuz 2024'te verilmesi planlanıyor.